Сравнение корпоративных средств защиты удаленного доступа

Дата: 29.07.2020. Автор: Ангара Технолоджиз Груп. Категории: Главное по информационной безопасности, Сравнения средств защиты информации

Мир диктует нам свои правила, и цифровая среда адаптируется под его изменения. Глобализация открыла перспективы удаленной работы для сотрудников, а пандемия превратила этот тренд в необходимость не только для компаний, которые находятся на пике технологий, но и для большей части бизнеса в мире. Организации, которые не успели адаптироваться к новым реалиям, оказались в аутсайдерах.

При этом вопросы обеспечения безопасности стали еще более острыми. Тем более что в кризис они отходят на второй план, а злоумышленники прекрасно понимают, что вынужденные временные решения по удаленному доступу, внедренные без должного внимания к организации их защиты, для многих компаний могут остаться постоянными, и это их слабое место.

Именно поэтому сейчас крайне важно перейти на полноценное решение по защите удаленного доступа. И так как критерии выбора у каждого предприятия свои (кому-то важно наличие дополнительных функций защиты, кому-то – сертификации), то для выбора подходящего инструмента мы предоставляем подробное сравнение популярных в корпоративной среде продуктов по удаленному доступу (Таблица 1).

Таблица 1

Критерий Cisco Any ConnectPalo Alto GlobalProtectFortiNet FortiClientCheck Point Endpoint SecurityКонтинент АПКШVipNet S-terra
Полноценный IPSEC VPN клиент и используемая технология VPNWindows
MAC
Linux
Windows
MAC
Linux
Windows
MAC
Linux
Windows
MAC
Linux
Windows
Linux
Windows
MAC
Linux
Windows
Linux
Русскоязычный интерфейс ПО пользователяданетнетдададада
Доступны аппаратная, виртуальная реализации криптошлюзададададанет,
только аппаратная
дада
Проверка клиента на соответствие политикам безопасности (наличие обновлений, антивируса и т. д.)да (с доп. средствами вендора)дададанетнетнет
Поддержка функции Split Tunnel – вариант маршрутизации не всего трафика в туннельдадададададада
Поддержка L2TP (для подключения нативным клиентом ОС Windows, MAC, Android, iOS и только функции VPN)данетдаданетнетнет
Поддержка режима VPN через SSL/TLS (для доступности VPN из фильтруемых сетей)дададададоступно через отдельные решения ГОСТ TLS
Поддержка фильтрации трафика (МЭ) на уровне ПО VPN клиентаданет (для этого используется отдельное решение вендора (Traps/Cortex)дададанетнет
Web application type based policy внутри VPN туннеля (исключить Youtube и т. д.) или Per App VPNдадададанетнетнет
Встроенные в клиент дополнительные функции защиты:нет (частично доступны с интеграцией с Cisco AMP)нет (для этого используется отдельное решение вендора (Traps/Cortex)даданетограниченнонет
 – антивирусная защитадоступно с интеграцией с Cisco AMPнетдаданетнетнет
 – шифрование данных при хранении на жестком дискенетнетнетданетданет
 – контроль и защита внешних устройствнетнетдаданетданет
 – криптографически защищенная почтанетнетнетда (мобильный вариант песочницы Capsule Workspace)нетданет
Обратный RDP до клиента (для техподдержки)дадададададада
Наличие у производителя клиента для мобильных устройств (Android, iOS)дададада (Capsule)даданет
Многофакторная аутентификация при подключении (Х.509, токены, интеграции с каталогами LDAP, Radius и т. д.)дадададада (рутокен, eTocken, Jakarta, Esmart)да (рутокен, eTocken, Jakarta, Esmart)да (рутокен, eTocken, Jakarta)
Поддержка одноразовых паролей на уровне криптографического шлюзанетнетнетда (one-time pass-код генератор)нетнетнет
SSL портал для доступа к Web-приложениям компаниидадададаесть вариант TLS-шлюзов
ГОСТ VPNнетнетда (с КритоПро с ограничениями)да (с КритоПро с ограничениями)дадада
ГОСТ SSL VPNнетнетнетнетдадада
Сертификация ФСТЭКнетнетнетдададада
Сертификация ФСБнетнетнетнетдадада
Интеграция с агентами песочницы производителяда (Cisco AMP + Threadgrid)да (Traps + Wildfire)дада (CheckPoint Sandblast)нетнетнет
Кластеризация шлюза Active-Standbyдадададададада
Кластеризация шлюза Active-Activeдадададанетнетнет
Интеграция с облачными платформами (Amazon AWS, MS Azure и др.)да (Cisco CSR 1000)дададанетс ограниченияминет
Функция роуминга для мобильного VPN – переподключение при разрыве соединениядадададанетнетнет

В целом все решения сейчас реализуют основной функционал, имеют возможности интеграции с SIEM-системами и встроенные средства мониторинга. Существуют нюансы в технических реализациях и поддерживаемых функциях (например, защита DNS), различия в моделях лицензирования. Так, ПО VPN клиента отдельного производителя хорошо интегрируется с существующими решениями по защите этого же производителя: Cisco AnyConnect интегрируется с Cisco ISE и имеет полноценную поддержку 802.1х, а VipNet имеет отдельный клиент для защиты почтового трафика по алгоритмам ГОСТ – VipNet «Деловая почта». В основном реализации российских вендоров и зарубежных по основным критериям имеют схожий функционал. И выбор между решениями можно сделать на основе уже существующего в компании комплекса сетевой защиты, требуемой производительности, технических деталей, факторов удобства администрирования, наличия персонала, технической поддержки и т. д.

Автор: Анна Михайлова, системный архитектор группы компаний Angara.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Поделиться ссылкой

Ангара Технолоджиз Груп

Об авторе Ангара Технолоджиз Груп

Группа компаний Angara, представленная системным интегратором Angara Technologies Group и сервис-провайдером Angara Professional Assistance, оказывает полный спектр услуг по информационной безопасности: поставку оборудования и ПО, проектирование, внедрение, сопровождение ИТ- и ИБ-систем клиентов, а также предлагает востребованные сервисы по обеспечению информационной безопасности по модели подписки.
Читать все записи автора Ангара Технолоджиз Груп

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

2 × два =